电力监控系统网络安全监测终端的制作方法

本实用新型涉及一种电力监控系统网络安全监测终端。

背景技术：

近年来，网络安全问题日益突出，黑客入侵以及网络攻击现象日益增多。而随着计算机网络技术的不断普及，公众使用计算机的次数越来越多。特别是公用信息基础设施建设推动了政府、企业日益依赖各种信息系统，一些涉及国计民生的业务、系统受到了前所未有的安全挑战。如维基解密网站泄漏了大量政府的机密信息；花旗集团受黑客攻击导致36多万的客户账户信息被窃取；CSDN网站被攻击导致600余万用户资料被泄漏等。这些事故充分说明网络安全对国家、政府和企业的重要性。

国家对网路安全的要求日益提高，《网络安全法》设置专门章节对电力等关键信息基础设施的网络安全提出：“应采取监测和记录网络运行状态及网络安全事件的技术措施”的要求。等级保护规定中对第三方审计有明确的要求，目前缺乏有效的多层次的第三方审计手段。电力公司高度重视网络安全工作，将网络安全视为大电网安全的重要组成部分，明确要求建立电力监控系统网络安全事件快速反应机制和预防预控机制。随着计算机及网络技术的快速发展，网络攻击技术也同样发展迅速。从网络攻击接触、准备和打击三个阶段来看，分别呈现出接触手段隐秘、攻击平台建立迅速、综合打击能力强等特点，这些特点也决定了网络的安全防护必须及早开展，最好在接触之前和接触中发现风险，抑制网络攻击行为。到目前为止，国家知识产权局(http://www.sipo.gov.cn/)中尚未检索到“网络安全监测厂站终端”相关的内容。

技术实现要素：

本实用新型所要解决的技术问题，就是提供一种电力监控系统网络安全监测终端，该装置能自动高效全面地根据预定的规则对各级变电站内软硬件设施进行信息安全测试，并将相关信息及告警上送至主站系统；同时，支持主站系统对装置的各类数据召唤及策略下发。

解决上述技术问题，本实用新型所采用的技术方案如下。

一种电力监控系统网络安全监测终端，部署于电力监控系统局域网网络中，用以对监测对象的网络安全信息采集，为网络安全管理平台上传事件并提供服务代理功能，其特征是：装置包括：依次连接的数据采集引擎、数据处理引擎和通信服务代理转发器，以及分别与所述数据采集引擎、数据处理引擎和通信服务代理转发器连接的装置配置模块。

所述的数据采集引擎包括主机采集单元、网络设备采集单元、安全防护设备采集单元、公共设备采集单元和数据库采集单元。

所述的数据处理引擎包括基线核查单元、风险评估单元、网络流量分析单元、防病毒单元、日志审计单元和漏洞扫描单元，用于对数据采集引擎发送的数据进行网络安全监测分析。

所述的通信服务代理转发器用于将网络安全监测分析数据转发至网络安全监管平台。

所述的装置配置模块包括：系统配置单元、事件处理配置单元和通信配置单元，分别与数据采集引擎、数据处理引擎和通信服务代理转发器连接，用于对上述单元进行辅助配置。

所述的数据采集引擎用于实现对变电站内各类软硬件设置的数据采集；所述的数据处理引擎通过基线核查、风险评估、安全日志审计、漏洞扫描、防病毒分析和网络流量分析，实现对站内信息安全状态的综合分析评估；所述的通信服务代理转发器通过服务代理的形式为主站平台提供站端数据，并实现主站对终端装置的远程控制；所述的装置配置模块实现装置本身的配置管理，包括系统参数、通信参数和事件处理参数。

各功能模块的组成和主要功能如下：

数据采集引擎，包括如下单元：

主机采集单元：用于采集服务器、工作站的用户登录、操作信息、运行状态、移动存储设备接入和网络外联信息；

网络设备采集单元：用于采集网络设备的用户登录、操作信息、配置变更信、流量信息和网口状态信息；

安全防护设备采集单元：用于采集安全防护设备的用户登录、配置变更、运行状态和安全事件信息；

公共设备采集单元：用于采集对象为电力监控系统内的直流电源、时钟同步装置和视频监控；采集内容包括资产信息、状态信息和操作信息；

数据库采集单元：用于采集数据库的操作信息和运行状态的事件信息。数据处理引擎，包括如下单元：

基线核查单元：用于调用包括服务器、工作站和网关机目标设备的基线核查功能，实现对目标设备基线核查指令的下发，并对返回结果进行分析展示；

风险评估单元：用于对资产进行安全风险评估；

网络流量分析单元：用于通过对采集到网络设备的流量进行在线分析形成告警事件以及起到设备监视作用；

防病毒单元：用于通过病毒日志和设备的在线状态进行在线分析形成告警事件以及起到设备监视作用；

日志审计单元：用于对包括登录日志、操作日志和维护日志进行分析处理；

漏洞扫描单元：用于通过对网络的扫描日志在线分析，了解网络的安全设置和运行的应用服务，及时发现安全漏洞和错误设置。

通信服务代理转发器，用于实现如下功能：

8)支持远程调阅采集信息、上传事件数据信息，支持根据时间段、设备类型、事件等级、事件记录个数综合过滤条件远程调阅数据信息；

9)支持对被监测系统内的资产进行远程管理，包括资产信息的添加、删除、修改、查看；

10)支持参数配置的远程管理，包括系统参数、通信参数及事件处理参数；

11)支持通过代理方式实现对服务器、工作站设备基线核查功能的调用；

12)支持通过代理方式实现对服务器、工作站设备主动断网命令的调用；

13)支持通过代理方式实现对服务器、工作站设备的关键文件清单、危险操作定义值、周期性事件上报周期参数的添加、删除、修改、查看；

14)支持通过网络安全管理平台对终端装置进行远程程序升级。

装置配置模块，包括如下单元：

系统参数配置管理单元：用于对包括物理网卡参数、路由配置参数和NTP对时参数配置进行管理；

事件处理配置单元：用于针对监测对象CPU、内存、网口流量、登录失败阈值的配置以及归并事件归并周期的配置；

通信配置单元：用于对包括服务器、工作站、安全防护设备数据采集的服务端口配置，装置服务代理端口配置和事件上传端口。

本装置按照“监测对象自身感知、终端装置分布采集、网络安全管理平台统一管控”的原则，构建电力监控系统网络安全监视与管理体系，实现网络空间安全的实时监控和有效管理。如图2。

有益效果：本装置部署于电力监控系统局域网网络中，用以对监测对象的网络安全信息采集，为网络安全管理平台上传事件并提供服务代理功能。

本装置以就地部署的装置实现对内区域(包括调控机构、变电站以及配电等监控系统)相关设备网络安全数据的采集、处理，同时把处理的结果通过通信手段送到调度机构部署的网络安全监管平台,采用加密认证机制保障数据传输的安全性，同时对于涉及网络及链路阻断的指令采用基于调度数据证书技术的分段认证以及基于安全标签的身份识别等手段确保操作自身的安全性。

附图说明

图1为本实用新型的组成和连接关系示意图；

图2为本实用新型部署于电力监控系统局域网网络中示意图。

具体实施方式

以下结合附图，对本实用新型做进一步的详细说明。

图1为本实用新型的电力监控系统网络安全监测厂站终端实施例，其部署于电力监控系统局域网网络中，用以对监测对象的网络安全信息采集，为网络安全管理平台上传事件并提供服务代理功能。

装置包括：依次连接的数据采集引擎、数据处理引擎和通信服务代理转发器，以及分别与所述数据采集引擎、数据处理引擎和通信服务代理转发器连接的装置配置模块。

所述的数据采集引擎包括主机采集单元、网络设备采集单元、安全防护设备采集单元、公共设备采集单元和数据库采集单元。

所述的数据处理引擎包括基线核查单元、风险评估单元、网络流量分析单元、防病毒单元、日志审计单元和漏洞扫描单元，用于对数据采集引擎发送的数据进行网络安全监测分析。

所述的通信服务代理转发器用于将网络安全监测分析数据转发至网络安全监管平台。

所述的装置配置模块包括：系统配置单元、事件处理配置单元和通信配置单元，分别与数据采集引擎、数据处理引擎和通信服务代理转发器连接，用于对上述单元进行辅助配置。

所述的数据采集引擎用于实现对变电站内各类软硬件设置的数据采集；所述的数据处理引擎通过基线核查、风险评估、安全日志审计、漏洞扫描、防病毒分析和网络流量分析，实现对站内信息安全状态的综合分析评估；所述的通信服务代理转发器通过服务代理的形式为主站平台提供站端数据，并实现主站对终端装置的远程控制；所述的装置配置模块实现装置本身的配置管理，包括系统参数、通信参数和事件处理参数。

各功能模块的组成和主要功能如下：

数据采集引擎，包括如下单元：

主机采集单元：用于采集服务器、工作站的用户登录、操作信息、运行状态、移动存储设备接入和网络外联信息；

网络设备采集单元：用于采集网络设备的用户登录、操作信息、配置变更信、流量信息和网口状态信息；

安全防护设备采集单元：用于采集安全防护设备的用户登录、配置变更、运行状态和安全事件信息；

公共设备采集单元：用于采集对象为电力监控系统内的直流电源、时钟同步装置和视频监控；采集内容包括资产信息、状态信息和操作信息；

数据库采集单元：用于采集数据库的操作信息和运行状态的事件信息。数据处理引擎，包括如下单元：

基线核查单元：用于调用包括服务器、工作站和网关机目标设备的基线核查功能，实现对目标设备基线核查指令的下发，并对返回结果进行分析展示；

风险评估单元：用于对资产进行安全风险评估；

网络流量分析单元：用于通过对采集到网络设备的流量进行在线分析形成告警事件以及起到设备监视作用；

防病毒单元：用于通过病毒日志和设备的在线状态进行在线分析形成告警事件以及起到设备监视作用；

日志审计单元：用于对包括登录日志、操作日志和维护日志进行分析处理；

漏洞扫描单元：用于通过对网络的扫描日志在线分析，了解网络的安全设置和运行的应用服务，及时发现安全漏洞和错误设置。

通信服务代理转发器，用于实现如下功能：

1.支持远程调阅采集信息、上传事件数据信息，支持根据时间段、设备类型、事件等级、事件记录个数综合过滤条件远程调阅数据信息；

2.支持对被监测系统内的资产进行远程管理，包括资产信息的添加、删除、修改、查看；

3.支持参数配置的远程管理，包括系统参数、通信参数及事件处理参数；

4.支持通过代理方式实现对服务器、工作站设备基线核查功能的调用；

5.支持通过代理方式实现对服务器、工作站设备主动断网命令的调用；

6.支持通过代理方式实现对服务器、工作站设备的关键文件清单、危险操作定义值、周期性事件上报周期参数的添加、删除、修改、查看；

7.支持通过网络安全管理平台对终端装置进行远程程序升级。

装置配置模块，包括如下单元：

系统参数配置管理单元：用于对包括物理网卡参数、路由配置参数和NTP对时参数配置进行管理；

事件处理配置单元：用于针对监测对象CPU、内存、网口流量、登录失败阈值的配置以及归并事件归并周期的配置；

通信配置单元：用于对包括服务器、工作站、安全防护设备数据采集的服务端口配置，装置服务代理端口配置和事件上传端口。

数据采集引擎作为数据输入端通过装置配置模块系统配置管理子模块调配，对监测对象进行数据采集，将采集到的数据对象输送到数据处理引擎，进行范式化高级分析处理，并通过装置配置模块通信配置管理子模块调配，将分析处理过数据通过通信服务代理转发器上报主站管理平台。

1.数据采集引擎作为数据源输入方，主要用于实现对变电站内各类软硬件设置的数据采集,包括主机设备采集引擎子模块、网络设备采集引擎子模块、安全设备采集引擎子模块、二次设备采集引擎子模块、公共设备采集引擎子模块几个数据采集源，将采集的各类设备运行状态、事件信息、流量信息等存储，数据采集引擎与数据处理引擎进行连接，将采集数据发送数据处理引擎，并与装置配置模块进行连接，由装置配置模块提供系统参数进行采集调配；

2.数据处理引擎用于从数据采集引擎获取采集信息后，通过基线核查、风险评估、安全日志审计、漏洞扫描、防病毒分析、网络流量分析实现对站内信息安全状态的综合分析评估，数据处理引擎与通信服务代理转发器进行连接，通过通信服务代理转发器提供的通信规约将处理分析数据上报主站管理平台，并与装置配置模块连接，由装置配置模块提供事件处理参数调配归并处理方式；

3.通信服务代理转发器用于通过服务代理的形式为主站平台提供站端数据，并实现主站对终端装置的远程控制，通信服务代理转发器与装置配置模块连接，由装置配置模块提供通信参数，进行通信端口调配；

4.装置配置模块用于实现装置本身的配置管理，包括系统参数配置、通信参数配置及事件处理参数。装置配置模块与数据采集引擎、数据处理引擎、通信服务代理转发器分别进行连接，为数据采集模块提供系统参数，为数据处理引擎提供事件处理参数，为通信服务代理转发器提供通信参数。